Det finns något nästan tryggt i tanken att säkerhet går att skriva fram. En policy här, ett styrdokument där, och så är man klar. Man har gjort sitt, man kan visa upp något, man kan peka på att frågan är hanterad och klar!
Men cybersäkerhetslagen (2025:1506) markerar slutet på den föreställningen. Inte för att dokumentationen försvinner, nej, tvärtom – utan för att den inte längre räcker på egen hand. Den måste hänga ihop med verkligheten. Den måste ”spegla faktiskt arbete”.
Det var också ett av de tydligaste budskapen i webbinariet med Petra Jonsson och Jonas Stewén:
“Det är krav på ledningen på ett helt annat sätt.”
Det låter kanske som en självklarhet, men det är det inte. För det innebär att säkerhet inte längre är något som kan delegeras bort och försvinna in i en underliggande stödfunktion, på till exempel IT-chefens bord, eller kanske personen som ansvarar för hållbarhet. Det är en fråga om styrning, om prioriteringar och ytterst om ansvar.
När den svenska cybersäkerhetslagen trädde i kraft i slutet på januari 2026 ersatte den den gamla NIS-lagen. På ytan kan det se ut som en uppdatering, men i praktiken är det ett skifte. De gamla kategorierna, operatörer av samhällsviktiga tjänster och digitala leverantörer – har ersatts av något bredare, mer diffust och samtidigt mer träffande: väsentliga och viktiga verksamhetsutövare.
Och det är just bredden som är poängen. Det här handlar inte bara om energibolag och transporter. Det handlar lika mycket om digital infrastruktur, livsmedelsproduktion, forskning och, sist men inte minst – leverantörsled (eller leverantörskedjan). Många organisationer kommer inte att omfattas för att de själva är kritiska, utan för att de är viktiga för någon som är det.
Det gör också att en ganska stor grupp fortfarande underskattar sin egen relevans.
Samtidigt är lagens kärna förvånansvärt tydlig. Den vilar på tre principer: ledningsansvar, ett systematiskt och riskbaserat arbetssätt, och en faktisk miniminivå av säkerhetsåtgärder. Det är just kombinationen som förändrar spelplanen.
“Man måste jobba systematiskt och riskbaserat… och det finns en miniminivå som måste uppnås.”
Det innebär att det inte längre går att resonera sig bort från grundläggande säkerhet. Vissa saker ska finnas på plats, oavsett hur man värderar sin egen riskbild.
Här uppstår också en av de vanligaste missuppfattningarna. Det är lätt att tolka det som att dokumentationen blivit mindre viktig. Men det är egentligen fel slutsats. Dokumentationen är fortfarande avgörande, men dess roll har förändrats. Den är inte längre slutmålet, utan beviset.
För utan dokumentation kan du inte visa vad du har gjort. Och då har du, ur ett tillsynsperspektiv, inte heller gjort det.
“Det ska inte bara vara checkboxen… utan varför och hur det faktiskt fungerar.”
Det är i det glappet många organisationer hamnar snett. Antingen producerar man dokument som inte speglar verkligheten, eller så gör man saker i praktiken utan att kunna visa det. Båda är problematiska. Det som behövs är något mer krävande: dokumentation som faktiskt följer arbetet, inte ersätter det.
Samtidigt finns det en annan fråga som återkommer i nästan varje samtal om den här lagen: vad är egentligen “good enough”? Hur långt behöver man gå?
Det korta svaret är att det inte handlar om att göra allt, utan om att göra rätt saker först. Och det börjar sällan i detaljerna. Det börjar i att förstå vad som faktiskt är viktigt i den egna verksamheten. Vilka system som är kritiska, vilka beroenden som finns, vilka konsekvenser ett avbrott skulle få.
Det är där någonstans ribban sätts. Inte i hur många policies man har, utan i om man vet vad man skyddar, och varför. Det intressanta är att när man väl kommer dit, så är det sällan de avancerade lösningarna som ger mest effekt. Tvärtom. Många av de största bristerna är fortfarande förvånansvärt grundläggande.
“Vid säkerhetstester är det otroligt vanligt att du hittar administratörslösenord… i klartext.”
Det säger en del om nivån. Det innebär att det ofta finns en enorm hävstång i ganska enkla åtgärder – som att införa multifaktorautentisering, se över behörigheter eller faktiskt uppdatera sina system. Det är inte särskilt glamouröst, eller på något sätt en avancerad åtgärd som är förknippad med stora ekonomiska kostnader – men det är där motståndskraften byggs.
Och även om mycket fokus naturligt hamnar på att förebygga incidenter, så är det minst lika viktigt att acceptera att de kommer att inträffa. Cybersäkerhetslagen ställer tydliga krav på rapportering, men det verkliga värdet ligger i att ha tänkt igenom vad man gör när något händer.
Inte i teorin, utan i praktiken.
“Det ska inte vara 100 sidor… det kan vara på en sida.”
Det Jonas sa under webbinariet är en ganska befriande tanke. För en fungerande incidenthantering handlar i grunden inte om omfattning, utan om tydlighet och korrekthet och en smula punktlighet. Vet man vad som är en incident, vem som gör vad och hur man når varandra – då har man kommit långt.
Det är också här kontrasten till det klassiska “pappersmonstret” blir tydlig. För en av de största fallgroparna är fortfarande att producera dokument som inte används.
“Det blir för mycket fokus på policies… men inget händer.”
Och det är kanske den mest träffande kritiken av allt. För det är inte brist på dokument som fäller organisationer, utan bristen på koppling mellan dokument och verklighet. Det finns till och med exempel där detta gått riktigt långt. En säkerhetschef i finanssektorn beskrev hur uppemot 80 procent av budgeten gick till compliance – alltså till att visa att man gör rätt – medan en betydligt mindre del gick till faktisk säkerhet.
Det är en obalans som cybersäkerhetslagen i någon mån försöker korrigera. Men det kräver att organisationer själva gör ett aktivt val: att inte fastna i att visa upp säkerhet, utan att faktiskt bygga den.
Så vad gör man då, rent konkret?
Egentligen är det inte så komplicerat som det ibland låter. Det handlar om att börja i rätt ände. Att förankra frågan i ledningen, att tydliggöra ansvar, att förstå sina risker och att säkerställa de mest grundläggande skydden, samt att givetvis dokumentera det arbetet på en sida. Men också kanske viktigast av allt – att ha en plan för när något ändå går fel.
Det är inte hela resan. Men det är en start som faktiskt gör skillnad.
Och kanske är det just där som lagens största värde ligger. Inte i detaljerna, utan i förskjutningen den tvingar fram. Från teknik till styrning och dokument till praktik.
